電子認證模式
建立電子認證系統有兩種基本方式。
直接認證
當使用者與服務供應商在可信賴的關係下容許彼此交換及核實憑證時,可進行直接認證。直接認證要求使用者出示憑證,典型例子有使用者名稱和密碼。服務供應商利用這些憑證來認證使用者的要求。
中介的認證
在使用者與服務供應商並無直接可信賴關係的情況下,可用「中介人」來進行認證。中介人對用戶作出認證,並發出「安全斷言」,服務供應商以此來認證使用者。
下表顯示兩種方式的比較。
觀點 | 直接認證 | 中介的認證 |
---|---|---|
可信賴的關係 | 服務供應商與使用者直接建立信任。 | 服務供應商對與使用者進行認證的中介人建立信任。 |
基礎建設支援 | 直接認證能與大部分基礎建設一起運作。 | 中介的認證需要基礎建設支援使用「安全斷言」。 |
跨領域接達 | 每項連接不同服務的要求都要認證。 | 同一「斷言」可用於接達組織內所有服務。 |
使用例子 | 直接使用者名稱和密碼認證。 |
以公開密碼匙基礎建設認證是利用核證機關的驗證服務(即嵌入性通訊協定)。
聯邦系統由聯邦內的成員互相認證各自的使用者,以保證他們可接達其他成員所提供的服務。
|
以下是配合認證程序的一些緩解措施,可作一般參考之用。
使用者教育
應為使用者提供有關資訊,包括提升他們對如何找出和緩解風險的知識。使用者教育的例子包括如何檢查在伺服器證書上的名字和檢查瀏覽器上的安全鎖標示。定期的教育活動有助確保使用者明白何時及如何報告資料外泄(或懷疑資料外泄)事件,或找出能顯示攻擊者嘗試令權標資料外泄的行為模式。
伺服器證書
伺服器證書是認證伺服器的業界標準,例如使用伺服器證書可在登入網站前(通過用戶的瀏覽器)核實伺服器。在使用者認證時使用伺服器證書的另一個好處是能夠提供加密功能,確保使用者的身分和密碼不會在傳輸過程中被截取。
終端使用者的控制
在確保網上交易的完整性時,部分困難來自缺乏對終端使用者的控制,其中包括用戶在技術知識上的差異,以至不同的瀏覽器配置與操作系統。要取得用戶端的部分控制或連貫性,可用的方案包括:
實體安全
這項選擇適用於大部分將終端用戶工作站置於機構實體範圍內的內部網上交易,但卻未必可供互聯網應用系統使用。這項選擇是否可行視乎相關地點及可否提供合適網絡而定。
相互認證
這涉及服務供應商在交易時向客戶提供只有服務供應商和客戶才知道的資料,作為服務供應商本身的認證。這種認證的目的是減低仿冒詐騙的風險,服務供應商會向客戶展示欺詐網站不能提供的資料。這項選擇具有多種變化,但每種變化均應包括向客戶展示只有服務供應商和客戶才知道的資料,例如:
使用伺服器證書亦可在登入服務供應商的網站前(通過用戶的瀏覽器)核實主機伺服器。在使用者認證時使用伺服器證書的另一個好處是能夠提供加密功能,讓使用者的憑證在傳輸過程中免被截取。
「帶外」考慮
「帶外」解決方案可作為高風險交易的選擇,或作為純技術解決方案以外的另一選擇。這種解決方案通常涉及客戶與服務供應商之間並非只依賴互聯網的某些通訊或傳輸。「帶外」解決方案的例子包括手提電話、短訊服務訊息、電話通訊或服務郵件。「帶外」解決方案涉及較高的複雜性和較先進的基礎建設,因此需在相關成本與所得利益兩者之間取得平衡。
交易協議
建立交易協議以防止在未獲授權的情況下接達服務或財務交易。任何超出若干限制或次數的交易會啓動例外程序,使交易延遲,直至客戶完成離線驗證。相關例子包括即時接納在一星期中特定日子辦公時間內進行的交易,並自動延遲在這些時間以外進行的交易,直至離線驗證完成。
程式編製技術
使用合法網站作為背景,並將假網站放在上面,這是黑客設置假網站所採用的一種技倆。從客戶角度來看,該網站看似真實,表現恰當,並附有合法傳輸層安全掛鎖。客戶被要求將其資料輸入假網站,黑客便能從中取得相關的認證資料。部分程式編製語言(例如 JavaScript )具備功能,可偵測網站的某部分是否嵌在框架內,並將這網站的合法部分移往前面。這樣應有助防止黑客將假網站部分放在合法網站上面。
處理不成功的登入嘗試
適當處理不成功的登入嘗試有助減低密碼猜測攻擊的風險。一些常見的做法包括待進行不成功的登入嘗試達到預定次數後,暫停使用者的帳戶或接達權限,以及需要使用者等候較長時間才獲准再試。
交易記錄及帳戶活動監察
客戶應獲得定期及詳細的交易記錄,讓他們識別欺詐活動。此外,應定期查核帳戶活動,以識別可能在使用者帳戶出現欺詐活動的異常行為,例如在短期內出現過多交易要求,或與過往行為比較有過多服務要求。
許多機構已設立渠道並提供工具或指引,協助處理與電子認證相關的查詢及問題。
OpenID
OpenID 是以使用者的數碼身分為中心而設的一個開放、分散及自由的框架。
OpenSAML - 執行開放源碼安全斷言標記語言
OpenSAML 是一種採用 SAML規格執行解決方案的開放源碼工具,可供 Java(1.4+)及 C++ 應用系統使用。
FIDO 聯盟
FIDO聯盟專責處理各項嚴密認證技術之間缺乏互用性的問題,以及解決使用者所遇到有關設定及牢記多個使用者名稱和密碼的問題。
萬維網聯盟網絡認證工作小組
工作小組的使命是訂立用戶端應用程式界面,用以為網頁應用程式提供嚴謹的認證功能。